:quality(80)/p7i.vogel.de/wcms/0c/f3/0cf3cf33ad351a857366e91d55415ae8/0115612139.jpeg "Wer als Unternehmer in Bürokratie versinkt, hat keine Zeit mehr für Wertschöpfung. (Bild: Designpics - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/e7/45e7641aed1e119e662389d3a7fbd3e0/0115675023.jpeg "Thierry-Breton, EU-Binnenmarktkommissar (Bild: EU-Kommission)")
:quality(80)/p7i.vogel.de/wcms/d3/fb/d3fb2f11d4f48e00f6511b7d8509ff23/0115675775.jpeg "Gemini ist das bisher größte und leistungsfähigste KI-Modell von Google. (Bild: Google)")
:quality(80)/p7i.vogel.de/wcms/27/2b/272b79504a68e2d87c818b17607f72d6/0115620908.jpeg "Mobiles Arbeiten ist gekommen, um zu bleiben und fester Bestandteil der Arbeitswelt in der chemisch-pharmazeutischen Industrie. (Source: free licensed)")
:quality(80)/p7i.vogel.de/wcms/5c/4e/5c4e86a0e2286e9ca8667bab8f31b1a6/0115543605.jpeg "Mitarbeiter wollen einen Grund haben, warum sie im Büro sein sollen. Wer den ganzen Tag in virtuellen Meetings sitzt, sollte dafür nicht extra ins Büro pendeln müssen. (Bild: Studio Romantic - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/84/0b/840b0fe97bdcf6e941dd435fc4b2b5ec/0115539086.jpeg "Unternehmen werden in Sachen KI investitionsfreudiger. 6,3 Milliarden Euro flossen dieses Jahr in die Technologie. (Bild: ipopba - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/88/9a/889a50e1048d6ee65f2b43ec247f1183/0113929268.jpeg "Die Nutzung regenerativer Energien, Treibhausgasreduktion, Wassereinsparung – verschiedene Maßnahmen in Summe machen Rechenzentrumsbetrieb und Cloud-Hosting nachhaltiger und stetig „grüner“. (Bild: diloomi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/6f/996f9a95e57bf9c834cd8c29450c6b75/0115586995.jpeg "Für Cloud-native Anwendungen sind Chromebooks ideal. Daher spricht Acer mit dem Cloud Partner Programm Google-Partner und andere Cloud-Spezialisten an, die für ihre Projekte auch passende Hardware benötigen. (Bild: Acer)")
:quality(80)/p7i.vogel.de/wcms/84/ed/84ed9b3cc2ce0abf5cfcd40c86b09154/0115385842.jpeg "Unternehmen sind mittlerweile dazu verpflichtet, ihre Emissionen zu messen und zu veröffentlichen – eine mitunter recht knifflige Aufgabe wie etwa beim Einfluss von Software auf die Energiebilanz. (Bild: frei lizenziert Malte Reimold - Pixabay)")
:quality(80)/p7i.vogel.de/wcms/3f/26/3f26b91ed7b59dbd7464d8ab45b38aac/0115656482.jpeg "Das neue Gaming-Headset ivon Logitech st optimiert für Gaming an der Konsole. (Bild: Logitech)")
:quality(80)/p7i.vogel.de/wcms/8a/1f/8a1fb51db406dedb3ae8c48c6d3f0482/0115543653.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/1c/2d1ca1c3cb7da9864078ee2558a97e5b/0115645741.jpeg "Neue risikobasierte Erkennungs- und Reaktionsfunktionen mit integrierter KI von Kudelski MDR One Resolute sollen mehr Sicherheit bieten. Sie helfen Kunden und Sicherheitsteams, Cyberangreifern schnell und effektiv auf die Schliche zu kommen.
(Bild: deagreez - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1e/79/1e7950cd2477058607b755eb9495b451/0115651094.jpeg "Das Medion S17413 basiert auf dem Intel Core i5-1235U Prozessor der 12. Generation und eignet sich vor allem fürs Homeoffice. (Bild: Medion)")
:quality(80)/p7i.vogel.de/wcms/10/18/1018c366386451773ef4e41460d37b15/0115485172.jpeg "Die Nano-Brix-Fanless-Rechner von Aquado nutzen Mobile-Prozessoren von Intel und AMD. Deren Abwärme wird über das mit Kühlrippen versehene Gehäuse abgeleitet. Die Mini-PCs warten zudem mit vier Display-Ausgängen auf. (Bild: Aquado)")
:quality(80)/p7i.vogel.de/wcms/a9/a5/a9a5bbaee092f8db0ac0a41cf14db5f3/0115442133.jpeg "Minimalistisches Design: Das kabelgebundene, mechanische Business-Keyboard KC 200 MX von Cherry. Für Stabilität sorgt die eloxierte Metallplatte unter den lasergravierten Tastenkappen der MX2A-Schalter. (Bild: Cherry)")
:quality(80)/p7i.vogel.de/wcms/4b/e9/4be92d6cd28eddf4732d7e0dd3564f88/0115592503.jpeg "(Bild: Vertiv)")
:quality(80)/p7i.vogel.de/wcms/ce/18/ce180539afc89195dea5ca54238ccb10/0115673069.jpeg "(Bild: PETR BABKIN - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/d1/d1d13863e0297efef3e470865fd13c3c/0115143731.jpeg "(Bild: Trend Micro)")
Sicherheit der Verarbeitung nach DSGVO Datenschutz und Datensicherheit sind kein Wunschkonzert
Ist die Sicherheit personenbezogener Daten auch dann eine Verpflichtung, wenn die betroffene Person auf die Verschlüsselung der E-Mail verzichten könnte? Die Frage ist entscheidend, man könnte ja mit Kunden vereinbaren, dass diese keinen Wert auf Datensicherheit legen.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134700/134757/65.jpg "Logo.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/133400/133405/65.png "DataCore Logo.png ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
Erhalten Personen unbefugt Zugang zu den in einer E-Mailnachricht enthaltenen personenbezogenen Daten, stellt dies eine Verletzung des Schutzes personenbezogener Daten dar, die durch technische und organisatorische Maßnahmen (wie individuelle Adressierung und ggfs. Verschlüsselung) zu verhindern ist, so die Aufsichtsbehörden für den Datenschutz.
Praktisch kann dies bedeuten, dass eine E-Mail mit einem Kundenanschreiben zu einer Datenpanne führen kann, wenn sie falsch adressiert wurde und eine unbefugte Kenntnisnahme insbesondere wegen fehlender Verschlüsselung nicht verhindert wird.
Nun könnte die Kundin oder der Kunde aber sagen, die E-Mail an mich muss nicht verschlüsselt sein. Vielleicht hält der Kunde oder die Kundin diesen Schutz für übertrieben oder umständlich. Da stellt sich die Frage: Wenn der oder die Betroffene gar keine Verschlüsselung wollte, führt dann eine fehlgeleitete E-Mail ohne Verschlüsselung auch zu einer Verletzung des Datenschutzes nach DSGVO (Datenschutz-Grundverordnung)?
Kann der oder die Betroffene auf Datensicherheit verzichten?
Auf den ersten Blick könnte man denken, wenn die oder der Betroffene keinen Schutz der eigenen Daten möchte, ist sie oder er „selbst schuld“, oder aber, sie oder er kann sich dann nicht beschweren, wenn die Daten in unbefugte Hände gelangen.
Die Aufsichtsbehörden für den Datenschutz in Deutschland haben sich mit der Frage explizit befasst, ob und ggf. unter welchen Bedingungen auf Wunsch von Betroffenen auf technische und organisatorische Maßnahmen nach Art. 32 DSGVO (Sicherheit der Verarbeitung personenbezogener Daten) verzichtet werden kann.
Wenn dem so wäre, könnte also die oder der Betroffene ein Unternehmen von bestimmten Vorgaben zur Sicherheit der Verarbeitung nach DSGVO befreien.
Datenschutz steht nicht zur Disposition
Die Datenschutzkonferenz (DSK) als Gremium der Datenschutzaufsichtsbehörden des Bundes und der Länder hat dazu einen Beschluss veröffentlicht: „Zur Möglichkeit der Nichtanwendung technischer und organisatorischer Maßnahmen nach Art. 32 DSGVO auf ausdrücklichen Wunsch betroffener Personen“.
Die Entscheidung der Aufsichtsbehörden ist eindeutig:
- Die vom Verantwortlichen nach Art. 32 DSGVO vorzuhaltenden technischen und organisatorischen Maßnahmen beruhen auf objektiven Rechtspflichten, die nicht zur Disposition der Beteiligten stehen.
- Ein Verzicht auf die vom Verantwortlichen vorzuhaltenden technischen und organisatorischen Maßnahmen oder die Absenkung des gesetzlich vorgeschriebenen Standards auf der Basis einer Einwilligung ist nicht zulässig.
Man kann also daraus schließen: Der Datenschutz ist nicht verhandelbar, auf die Sicherheit der Verarbeitung kann nicht verzichtet werden, sie kann auch nicht auf Wunsch vermindert werden. Insbesondere kann ein Unternehmen also seine Kunden nicht einfach um Einwilligung bitten, dass die Maßnahmen zur Sicherheit der Verarbeitung reduziert werden oder entfallen können.
Das mag den einen oder anderen verwundern, aber es ist zweifellos ein Schutz für die Betroffenen, denn man kann nicht davon ausgehen, dass sich die Betroffenen wirklich der möglichen Folgen bewusst sind, wenn sie zum Beispiel sagen würden, E-Mails mit meinen personenbezogenen Daten müssen nicht verschlüsselt werden.
Aber wie immer gibt es Ausnahmen
Die Entscheidung der Aufsichtsbehörden lässt aber Ausnahmen zu. So heißt es in dem Beschluss weiter: Unter Beachtung des Selbstbestimmungsrechts der betroffenen Person und der Rechte weiterer betroffener Personen kann es in zu dokumentierenden Einzelfällen möglich sein, dass der Verantwortliche auf ausdrücklichen, eigeninitiativen Wunsch der informierten betroffenen Person bestimmte vorzuhaltende technische und organisatorische Maßnahmen ihr gegenüber in vertretbarem Umfang nicht anwendet.
Soll also eine bestimmte Maßnahme für die Sicherheit der Verarbeitung nach DSGVO unterbleiben, muss es zum einen ein Einzelfall sein, nicht etwa der Standard im Vorgehen des Unternehmens. Dann muss die Ausnahme dokumentiert sein und zwar ohne Zweifel ausführlich und stichhaltig: Was soll im Bereich der Sicherheit reduziert werden oder unterbleiben, warum hat sich die oder der Betroffene dies gewünscht, ist dies angemessen, also kein zu hohes Risiko für die Betroffenen.
Ganz wichtig ist dabei auch, dass die Betroffenen informiert sind, also über die möglichen Folgen aufgeklärt wurden. Nicht zuletzt muss der Verzicht auf die Sicherheitsmaßnahme auch ausdrücklich von den Betroffenen erklärt werden, und es muss auf die Eigeninitiative der Betroffenen hin erfolgen und nicht etwa von dem Unternehmen vorgeschlagen sein. Die Nachweise der Information oder Aufklärung über die möglichen Folgen und die Eigeninitiative müssen unbedingt dokumentiert sein.
Es zeigt sich: Der Verzicht auf Sicherheitsmaßnahmen wird bewusst nicht einfach gemacht, es macht Aufwand, gerade durch die Risikoanalyse und die Dokumentation. Das soll und muss aber sein, damit man die Sicherheit der Verarbeitung personenbezogener Daten nicht einfach reduziert, um Aufwände zu sparen.
Die genannte Ausnahmeregelung sollte wirklich die Ausnahme bleiben, am besten sollte es gar nicht dazu kommen, denn wer kann schon wirklich sagen, was alles passieren kann, wenn man auf den ausdrücklichen, informierten Wunsch des Betroffenen hin auf bestimmte Schutzmaßnahmen verzichtet?
Selbst wenn die Aufsicht im Fall des Falles die Ausnahme als nachgewiesen und angemessen erachtet, kann es immer noch sein, dass später die oder der Betroffene meint, das Unternehmen hätte doch nie zustimmen dürfen, um die Datenpanne zu vermeiden, immerhin sei man sich als betroffene Person mangels Expertenwissen nicht wirklich im Klaren gewesen. Da hilft dann auch die Dokumentation wenig, wenn der Kunde oder die Kundin später verärgert ist.
(ID:47970543)
:quality(80)/p7i.vogel.de/wcms/74/1c/741cc9ad49a5414ce174c76715a6e821/0108967417.jpeg "Unternehmen müssen organisatorische Maßnahmen treffen, damit Personen eine Datenschutzauskunft zeitnah und in verständlicher Form erhalten. Da ist es sinnvoll, bereits vorhandene Maßnahmen der IT-Sicherheit zu berücksichtigen. (Bild: vegefox.com - stock.adobe.com)")